“ConfusedComposer” olarak adlandırılan Google Cloud Platform’da (GCP) kritik bir ayrıcalık artma güvenlik açığı, saldırganların hassas bulut kaynaklarına yüksek izinler kazanmasına izin verebilirdi.
Şimdi yamalı olan güvenlik açığı, son derece ayrıcalıklı bir hizmet hesabı üzerinde potansiyel olarak kontrol kazanmak için minimum izinleri olan saldırganları etkinleştirdi ve proje çapında kapsamlı erişim için bir yol sundu.
Güvenlik açığı, veri boru hatlarını planlamak ve otomatikleştirmek için Apache hava akışına dayanan tam yönetilen bir iş akışı düzenleme hizmeti olan Google Cloud Composer’da ikamet etti.
.png
)
GCP Besteci ayrıcalık yükseltici güvenlik açığı
Kusur, Cloud Composer’ın Google Cloud Build, GCP’nin sürekli entegrasyonu ve dağıtım hizmeti ile nasıl etkileşime girdiğinden kaynaklandı.
Bulut bestecisinin ortamlara özel PYPI paketleri yükleme işlevselliği, güvenlik açığının merkezindeydi.
Kullanıcılar özel PYPI paketlerini belirlediklerinde, Cloud Composer, Bulut Besteci Hizmet Hesabının kullanıcının projesinde otomatik olarak bir bulut oluşturma örneğini sağlayacağı perde arkası oluşturma işlemi başlatır.
Siber Güvenlik Haberleri ile paylaşılan Tenable Araştırmacılar, “Besteci. Çevre Güncelleme İzni ile bir saldırgan, ayrıcalıkları arttırmak için bulut besteci hizmet düzenleme sürecini kötüye kullanabilirdi” dedi.
Saldırı metodolojisi, kurbanın besteci özel paket konfigürasyonuna kötü niyetli bir PYPI paketi enjekte etmeyi içeren.
Teknik sömürü yolu
Sömürü, Python’un paket yükleyicisi PIP’nin paket öncesi ve sonrası kurulum komut dosyalarını otomatik olarak yürüttüğüne dayanıyordu.
Araştırmacılar, saldırganların bestecinin temel hizmet hesabı üzerinde doğrudan kontrol sahibi olmasına rağmen, bu kurulum komut dosyaları aracılığıyla bulut oluşturma ortamı içinde keyfi kod yürütebileceğini gösterdiler.
Ayrıcalık artışı, enjekte edilen kod, Bulut Built’in Meta Veri API’sını hizmet hesabı belirtecini çıkarmak için eriştiğinde meydana geldi.
Yapı örneği, bulut depolama, artefakt kayıt defteri, konteyner kayıt defteri ve diğer hizmetlere geniş izinlere sahip olan Varsayılan Bulut Yapı Hizmeti hesabı ile çalıştığından, saldırganlar kurbanın GCP projesi boyunca yüksek ayrıcalıklar kazanabilir.
Google, Cloud Composer’ın PYPI modül kurulumlarını nasıl işlediğini değiştirerek güvenlik açığını düzeltti.
Araştırmacılar, “Düzeltmeyi uyguladıktan sonra, besteci bulut yapı hizmeti hesabını kullanmayı bıraktı ve bunun yerine PYPI modülü kurulumları için Composer Çevre Servisi hesabını kullanacak” dedi.
Düzeltme, yeni besteci örneklerine sunuldu ve mevcut örneklerin güncellemeyi Nisan 2025’e kadar alması planlandı.
Ayrıca, güvenlik bilincini artırmak için Google, Composer’ın Access Control, Python bağımlılıkları yükleme ve Airflow CLI’sine erişme konusundaki belgelerini güncelledi.
Bu güvenlik açığı, geçen yıl keşfettikleri “ConfusedFonction” adı verilen başka bir GCP ayrıcalık-artma kırılganlığına dayanarak, “Jenga” saldırı sınıfı olarak sınıflandırdığı işlenebilir.
Bu güvenlik açıkları, bulut sağlayıcıları ile ilgili bulut sağlayıcısı yanlış yapılandırmalardan ve bulut sağlayıcılarının hizmet düzenleme süreçlerinin bir parçası olarak otomatik olarak dağıttığı birbirine bağlı hizmetleri kötüye kullanır.
Keşif, bulut güvenliğinin artan karmaşıklığını ve özellikle birden fazla birbirine bağlı hizmet içerebilecek otomasyon boru hatlarıyla uğraşırken, bulut ortamlarında hizmet hesabı izinlerini düzgün bir şekilde yapılandırmanın önemini vurgulamaktadır.
Malware Trends Report Based on 15000 SOC Teams Incidents, Q1 2025 out!-> Get Your Free Copy